изначально, если такая задача не стоит по ИБ, то и не надо на себя брать лишнюю материальную ответственность. вас могут тупо подставить, а потом будете возмещать убытки бизнесу из своего кармана! защита должна быть спланирована, бизнес должен понимать уровень угроз и за это должны заплатить. если после предложения ваш вариант отвергли и сказали "авось пронесет" то не надо забивать себе лишним голову.
Самое грамотное видео по информационной безопасности! Я как практик в этой области, всегда говорю - самое главное это правильная организация ИБ включающая все что тут сказано, а от хорошего программера зависит процентов 20 информационной безопасности.
из 70 - всего 6 человек ? работал в полугос компании, штат примерно 150 человек. Был пен тест, так 80% сотрудников на предполагаемом *новом* ресурсе компании ввели логины и пароли. Было обучение сотрудников и через пол года рассылка повторилась. По отчету логин и пароль ввели 60%. И все это развлечение, стоило очень больших денег!
3:12 по этому начинать с Data не совсем правильно, Data это цель атакующих, и первое препятствие это образованные пользователи и политики безопасности.
Все зависит от высшего руководства. Если им по фиг. То можно услышать ответ- ты здесь для этого. Последний раз когда делал выговор сотруднице, что она открывала письмо с вирусом и ещё просила коллег открыть, а то у неё ни че не открылось. Та на меня пожаловалась и в итоге руководство ещё по смеялась над ситуацией.
что значит "произошло обучение"? просто прочитать семинар - это не обучение. Перед "операцией", можно было провести внутрений тест по прослушенному материалу. И тех, кто его не сдал - "выпороть ремнём". У нас вот, например, каждый год проходит опрос на тему ISMS (Information Security Management System) для ISO 27001. Чтобы то, что нам рассказали не забывалось... Более того, мы переодически рассылаем информационные письма с примерами фишинга. ИМХО
TheAnahaym у нас в компании тесты пишет отдел, который занимается обучением. Т.е. девочки, которые вообще не имеют представления о предмете. Они составляют тесты по материалам, которые им предоставляют сотрудники ответственных подразделений и с формулировками, понятными тете Маше-бухгалтеру. Вы будете смеяться, но у нас даже главный инженер по безопасности этот тест не сдал😄 Тк с точки тения профессиональной деформации, в нем было очень много неопределенностей.
за gophish спасибо. надо будет потренировать пользователей. А то уже было несколько человек, которые "сливали" свои данные... к счатью, они немедленно обращались в ТП и мы меняли пароли.
В форме игры или интерактивного опросника с «настоящей» угрозой. Например: «вам пришло письмо, как в видео Выше, ваши действия: 1,2,3. Обучение будет эффективнее.
"На дворе шёл 2019 год". Базовые принципы ИБ конечно надо знать всем, но это утопия. В 2019 году надо в принципе стараться отказаться от паролей в их привычном понимании - на помощь приходит мультифактор в разных вариантах - Windows Hello, смарт карты и тд и тп. Использовать пароль как единственный фактор при аутентификации в 2019 это глупо. Как минимум, можно стоять за спиной сотрудника с айфоном снимающем 120к\сек и снимать видео. Вся ИБ это как чаша весов, на одной удобство - на другой безопасность. Но с современными технологиями это скоро пройдет )
"ИБ должны заниматься отдельные люди; отдельные отделы..." И да, и нет. ИБ должны заниматься все сотрудники: каждый на своём уровне. "Безопасники" должны регламентировать и проводить мероприятия по донесению политики ИБ до всех сотрудников. А также, проводить расследования и бескомпромиссно применять необходимые меры к нарушителям. Т.е. отдел ИБ контролирует и выкатывает функциональные требования (реже нефункциональный, в зависимости от требований регулятора): что должен делать тот или иной процесс. Системные администраторы, в свою очередь, должны понимать КАК этот процесс реализовать в рамках своей зоны ответственности. А в идеале: сторожить сторожей, для обеспечения баланса функциональности и безопасности процесса. И разумеется, для этого требуются соответствующие компетенции. Мой опыт говорит, что IT и InfoSec должны компенсировать друг друга и постоянно взаимодействовать по всем вопросам в зоне ответственности подразделений.
В D-i-D добавить можно IDS хостовые и периметр. Но у MS такого не помню, видимо, и на слайд не уместились поэтому ;-) Да, и на слайде нет про нашевсёбэкап :-) И DRP надо! DRP - нашевтороевсё! Нет, нашепервоевсё до бэкапа. И бэкап на устройства с последовательным доступом, чтоб шифровальщики не достали. А ещё флешек вредных запишите и перед офисом жертвы разбросайте. Админы рано приходят и всякие флешки халявные любят ;-) и антивирусы им "мешают" работать...
Я искренне надеюсь, что обвинения пользователей в вашем примере, это такой жирный троллинг. В противном случае вы вообще никогда не добьетесь ИБ на вашем предприятии, если у вас во всем пользователи будут виноваты. В примере письмо пришло с доменного адреса организации? Да. Значит ему можно доверять 100%, а кто там его направил Сергей или Серж пользователя вообще не волнует, в серьезных компаниях работают тысячи и даже десятки тысяч сотрудников и разумеется знать всех невозможно. В вашем примере коренная причина, нарушение ИБ произошло на уровне домена, а вы за уши притягиваете вину пользователей, но их действия это не причина нарушения ИБ, а следствие.
Всем сотрудникам после митинга экзамен - не сдал лишили премии, потом повтор - опять не сдал отстранение на месяц за свой счёт, третий раз не сдал понижение в должности и зп с отстранением от работы за пк. Только так можно дрессировать дисциплину и то это не даёт гарантии безопасности от бага нулевого дня или социальной инженерии. Если кто-то нацелился на ваш сервис то его падение это лишь вопрос времени и денег на данное мероприятие.
изначально, если такая задача не стоит по ИБ, то и не надо на себя брать лишнюю материальную ответственность. вас могут тупо подставить, а потом будете возмещать убытки бизнесу из своего кармана! защита должна быть спланирована, бизнес должен понимать уровень угроз и за это должны заплатить. если после предложения ваш вариант отвергли и сказали "авось пронесет" то не надо забивать себе лишним голову.
конечно-конечно, именно IT-специалисты должны обучать пользователей компьютерной грамотности и ИБ и еще наверное и забесплатно
Самое грамотное видео по информационной безопасности! Я как практик в этой области, всегда говорю - самое главное это правильная организация ИБ включающая все что тут сказано, а от хорошего программера зависит процентов 20 информационной безопасности.
Интересно вещаете! Больше видео по IT-безопасности пожалуйста!
из 70 - всего 6 человек ? работал в полугос компании, штат примерно 150 человек. Был пен тест, так 80% сотрудников на предполагаемом *новом* ресурсе компании ввели логины и пароли. Было обучение сотрудников и через пол года рассылка повторилась. По отчету логин и пароль ввели 60%. И все это развлечение, стоило очень больших денег!
интересно как обеспечить ИБ когда у тебя AD на 2k3?
Говорю как ИТ-безопасник, главная дырка это пользователи!
3:12 по этому начинать с Data не совсем правильно, Data это цель атакующих, и первое препятствие это образованные пользователи и политики безопасности.
Здравствуйте, я Василий из 5Б и я вас вычислю по ip.
Прямо как с нашей организации рассказ, потоковая схема видать) спасибо за нюансы.
Спасибо. Очень интересно. Попробуем :)
Спасибо, надо у себя замутить)
В прошлый четверг словили шифровальщик)) вылезло такое о чем даже не думали.
Все зависит от высшего руководства. Если им по фиг. То можно услышать ответ- ты здесь для этого. Последний раз когда делал выговор сотруднице, что она открывала письмо с вирусом и ещё просила коллег открыть, а то у неё ни че не открылось. Та на меня пожаловалась и в итоге руководство ещё по смеялась над ситуацией.
что значит "произошло обучение"? просто прочитать семинар - это не обучение. Перед "операцией", можно было провести внутрений тест по прослушенному материалу. И тех, кто его не сдал - "выпороть ремнём".
У нас вот, например, каждый год проходит опрос на тему ISMS (Information Security Management System) для ISO 27001. Чтобы то, что нам рассказали не забывалось... Более того, мы переодически рассылаем информационные письма с примерами фишинга.
ИМХО
TheAnahaym у нас в компании тесты пишет отдел, который занимается обучением. Т.е. девочки, которые вообще не имеют представления о предмете. Они составляют тесты по материалам, которые им предоставляют сотрудники ответственных подразделений и с формулировками, понятными тете Маше-бухгалтеру.
Вы будете смеяться, но у нас даже главный инженер по безопасности этот тест не сдал😄 Тк с точки тения профессиональной деформации, в нем было очень много неопределенностей.
за gophish спасибо. надо будет потренировать пользователей. А то уже было несколько человек, которые "сливали" свои данные... к счатью, они немедленно обращались в ТП и мы меняли пароли.
Илья, а что с качеством?
А что с ним?)
@@IlyaMCT 360p)
@@MrFlipWho у меня 1080p
Элита смотрит в 360
@@MrFlipWho судя по тому, что вы первый откаментили видос - просто Ютубчик не успел обработать, сейчас 1080р
В форме игры или интерактивного опросника с «настоящей» угрозой. Например: «вам пришло письмо, как в видео Выше, ваши действия: 1,2,3.
Обучение будет эффективнее.
"На дворе шёл 2019 год". Базовые принципы ИБ конечно надо знать всем, но это утопия. В 2019 году надо в принципе стараться отказаться от паролей в их привычном понимании - на помощь приходит мультифактор в разных вариантах - Windows Hello, смарт карты и тд и тп. Использовать пароль как единственный фактор при аутентификации в 2019 это глупо. Как минимум, можно стоять за спиной сотрудника с айфоном снимающем 120к\сек и снимать видео. Вся ИБ это как чаша весов, на одной удобство - на другой безопасность. Но с современными технологиями это скоро пройдет )
Отличная развлекуха)) Правда, Outlook столько страшных сообщений пишет, что пользователи по-любому перезвонят)
"ИБ должны заниматься отдельные люди; отдельные отделы..."
И да, и нет. ИБ должны заниматься все сотрудники: каждый на своём уровне. "Безопасники" должны регламентировать и проводить мероприятия по донесению политики ИБ до всех сотрудников. А также, проводить расследования и бескомпромиссно применять необходимые меры к нарушителям. Т.е. отдел ИБ контролирует и выкатывает функциональные требования (реже нефункциональный, в зависимости от требований регулятора): что должен делать тот или иной процесс.
Системные администраторы, в свою очередь, должны понимать КАК этот процесс реализовать в рамках своей зоны ответственности. А в идеале: сторожить сторожей, для обеспечения баланса функциональности и безопасности процесса. И разумеется, для этого требуются соответствующие компетенции.
Мой опыт говорит, что IT и InfoSec должны компенсировать друг друга и постоянно взаимодействовать по всем вопросам в зоне ответственности подразделений.
👍👍👍
В D-i-D добавить можно IDS хостовые и периметр. Но у MS такого не помню, видимо, и на слайд не уместились поэтому ;-)
Да, и на слайде нет про нашевсёбэкап :-)
И DRP надо! DRP - нашевтороевсё! Нет, нашепервоевсё до бэкапа. И бэкап на устройства с последовательным доступом, чтоб шифровальщики не достали.
А ещё флешек вредных запишите и перед офисом жертвы разбросайте. Админы рано приходят и всякие флешки халявные любят ;-) и антивирусы им "мешают" работать...
Я искренне надеюсь, что обвинения пользователей в вашем примере, это такой жирный троллинг. В противном случае вы вообще никогда не добьетесь ИБ на вашем предприятии, если у вас во всем пользователи будут виноваты. В примере письмо пришло с доменного адреса организации? Да. Значит ему можно доверять 100%, а кто там его направил Сергей или Серж пользователя вообще не волнует, в серьезных компаниях работают тысячи и даже десятки тысяч сотрудников и разумеется знать всех невозможно. В вашем примере коренная причина, нарушение ИБ произошло на уровне домена, а вы за уши притягиваете вину пользователей, но их действия это не причина нарушения ИБ, а следствие.
смешно и грустно)))
Всем сотрудникам после митинга экзамен - не сдал лишили премии, потом повтор - опять не сдал отстранение на месяц за свой счёт, третий раз не сдал понижение в должности и зп с отстранением от работы за пк. Только так можно дрессировать дисциплину и то это не даёт гарантии безопасности от бага нулевого дня или социальной инженерии. Если кто-то нацелился на ваш сервис то его падение это лишь вопрос времени и денег на данное мероприятие.
ух ты - какой теоретик ))
А если после 2го раза сотрудники не сдали, штрафовать учителей. Во веселуха будет